工业防火墙设备对哪些攻击有防范支持？

1、ICMP Flood攻击

通常，网络管理员使用PING程序来监控和解决网络故障，如下所示：

1）源计算机向接收计算机发送ICMP响应请求消息（ICMP ECHO）。

2）收到ICMP响应请求后，从计算机接收ICMP响应消息（ECHO Reply）以响应源计算机。

3）该过程需要CPU处理，并且在某些情况下可能消耗大量资源。

4）当攻击者向目标计算机发送大量ICMP ECHO数据包（生成ICMP洪水）时，目标计算机将忙于处理这些ECHO数据，无法再处理它们。

2、UDP Flood攻击

UDP Flood攻击的原理与ICMP Flood攻击类似。如果攻击者向目标计算机发送大量UDP数据包，则目标计算机将忙于处理这些UDP数据包而无法处理正常数据包。

地址扫描和端口扫描攻击者使用扫描工具测试目标地址和端口，目标地址对这些测试做出响应。攻击者使用这些响应来打开或关闭哪些端口、哪些目标系统处于活动状态并连接到网络。

3、Ping of Death攻击

Ping of Death是指使用非常大的ICMP数据包攻击系统。

IP包的长度字段为16位，这意味着IP包的最大长度为65535。如果ICMP响应请求的数据长度大于65507，则ICMP数据+IP报头长度（20）+ICMP报头长度（8）>65535。对于某些防火墙或系统，如果处理不当，系统可能会在收到这些消息后崩溃、崩溃或重新启动。

4、Large-ICMP攻击

与Ping of Death一样，大型ICMP也使用一些大型ICMP数据包来攻击系统。与Ping of Death不同，大型ICMP数据包的最大IP数据包长度不超过65535，但一些操作系统可能会打破循环。

必须在防火墙上配置ICMP数据包的最大允许长度。

当一些系统接收到无法从网络（消息类型字段3，代码字段0）或主机（消息类型域3，代码域1）访问的ICMP消息时，他们认为无法直接访问以下消息：

攻击者利用这种机制向目标主机发送伪造的ICMP数据包，从而破坏目标主机的路由信息并干扰数据包的传输。

5、ICMP-Unreachable攻击

网络设备可以向同一子网中的主机发送ICMP转发数据包，并向主机发送路由更改消息。

攻击者利用这一原理，通过网段向其他网络中的目标主机发送伪造的传输包，修改目标主机的路由表。

此攻击将干扰目标主机的路由信息，并阻止数据包传输。

6、IP-fragment攻击

IP消息包含与DF位、MF位、分割偏移和长度相关的字段。

如果上述字段中的值发生冲突，并且设备处理不正确，则可能会影响或导致设备瘫痪。冲突情况如下：

将DF位、MF位或段偏移量设置为不为零。

测向位为0，段偏移+长度为65535。

由于共享数据包增加了目标设备的缓冲和重组负载，因此有必要直接销毁具有设备自身目标地址的共享数据包。